Регистрация Войти
Рейтинг:0
avatar Server

Нет доступа к Cisco ESA из другой VLAN

флаг cn
Dave

Я нахожусь в процессе перехода на отдельные вланы из одной подсети 10.1.0.0/16 в VLAN1.

В существующей подсети /16 находится наша Cisco Mail Security (ESA).

В новом сегменте Vlan для клиентов (10.101.10.0/24, VLAN6) я могу делать практически все, кроме доступа к ESA. Нет пинга, а также нет доступа через HTTP(s). Другие серверы и службы полностью доступны, как и из VLAN1.

Служба поддержки Cisco сообщила, что проблем с конфигурацией ESA нет.

Сеть полностью Cisco.

Настройка сетевых/IP-интерфейсов ESA:

10.1.30.188/16

Я также пытался добавить отдельную сетевую карту с конфигурацией 10.101.10.250/24, но это ничего не решило.

Конфигурация Vlan на Coreswitch:

показать запуск интерфейса vlan 1
интерфейс Vlan 1
IP-адрес 10.1.0.253 255.255.0.0
конец

показать запуск интерфейса vlan 6
!
интерфейс влан 6
описание LAN-клиентов
IP-адрес 10.101.10.253 255.255.255.0
IP-помощник-адрес 10.1.30.84
нет ip route-cache
конец

Сеть

FW — это Cisco ASA 5508-X.

проблема также возникает из тестовых виртуальных машин VLAN8 на том же гипервизоре. Управление Cisco ASA осуществляется извне.

Это пинг-тест от Coreswitch:

CiscoCORE#ping 10.1.30.188 Введите escape-последовательность, чтобы прервать.

Отправка 5 100-байтовых ICMP Echo на 10.1.30.188, тайм-аут 2 секунды: !!!!!

Вероятность успеха составляет 100 процентов (5/5), время приема-передачи мин./сред./макс. = 1/1/4 мс

CiscoCORE#ping 10.1.30.188 исходный vlan8 Введите escape-последовательность, чтобы прервать.

Отправка 5 100-байтовых ICMP Echo на 10.1.30.188, тайм-аут 2 секунды: Пакет отправлен с исходным адресом 10.8.0.253. .....

Вероятность успеха составляет 0 процентов (0/5)

где может быть дело?

Обновлять: благодаря комментарию @Tero Kilkanen я добавил некоторую информацию и тесты. Я еще не думал о возможной проблеме на стороне ASA, но, возможно, стоит посмотреть

Обновлять: Я наконец сделал это. После повторной проверки IP-интерфейсов (конечно, я также создал интерфейс с IP в VLAN6) я попытался создать его через SSH (с теми же настройками).

После этого я мог получить к нему доступ из Vlan6 Возможно, IP-интерфейс должен быть создан через SSH, а не через веб-интерфейс. я ничего другого не ставил

52
0 + 0
флаг us
Tero Kilkanen
Пожалуйста, добавьте к вашему вопросу сетевую диаграмму, на которой показаны маршрутизаторы, которые есть в вашей сети.
0
Ответить
флаг us
Tero Kilkanen
Пожалуйста, добавьте сетевую диаграмму, которая показывает подсети и маршрутизаторы в вашей сети (сетях).
0
Ответить
Zac67 avatar
флаг ru
Zac67
Для ESA требуется правильная маска сети 255.255.0.0 и шлюз (по умолчанию) 10.101.10.0/24. Возможно, у него также есть ограничения доступа только для 10.1.0.0/16.
0
Ответить
флаг cn
Dave
Ограничения доступа нет - это я уже проверял. По крайней мере, поддержка Cisco также сказала, что это должно работать. Что вы подразумеваете под «правильной сетевой маской»? это означает, что я не могу получить к нему доступ из 255.255.255.0 Vlan 8?
0
Ответить
Ron Trunk avatar
флаг in
Ron Trunk
Что такое IP, маска и шлюз ESA? Как вы говорите, это *должно* работать, поэтому, вероятно, что-то настроено не так, как вы *думаете*. Пожалуйста, отредактируйте свой вопрос, чтобы включить полную конфигурацию вашего основного коммутатора.
0
Ответить
флаг cn
Dave
Спасибо за все Ваши ответы! Это заставило меня снова посмотреть на разные точки и решить ее!
0
Ответить
Рейтинг:1
avatar Server
флаг cn
Dave

Как написано в конце исходного сообщения, проблема была решена путем настройки IP-интерфейса через SSH вместо веб-интерфейса.

Настройки были точно такими же и простыми (IP/GW/Hostname/Ports/Interface)

Я предполагал, что мне не нужно ничего делать, так как служба поддержки Cisco потратила несколько часов в течение многих дней, чтобы изучить его.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.